1、底图还原

下 断点，可以分析底图还原逻辑

2、跟W值

var Str_Unicode=function(str){
    var unid='\\u00';
    for(let i=0,len=str.length;i<len;i++){
        if(i<len-1){
            unid+=str.charCodeAt(i).toString(16)+'\\u00';
        }else if(i===len-1){
            unid+=str.charCodeAt(i).toString(16);
        }
    }
    return unid;
}

JS里面是被编码的，可以把W值编码，进行查找，在JS里面搜索u0077":

var u = r[$_CAHJR(706)]()
, l = V[$_CAIAZ(339)](pt[$_CAHJR(278)](o), r[$_CAHJR(721)]())
, h = m[$_CAIAZ(769)](l)

"w" =  h + u

这里边的W值为 h+u， 可以按照逻辑挨个处理

2.1 分析U生成

2.1.1 处理明文

(65536 * (1 + Math[$_BFBFy(14)]()) | 0)[$_BFBFy(287)](16)[$_BFBEu(489)](1)

对明文进行改写

var ne = function () {
    function t() {
        return ((1 + Math["random"]()) * 65536 | 0)["toString"](16)["substring"](1);
    }
    return function () {
        return t() + t() + t() + t();
    };
}()

2.1.2 处理加密方法

1、 全局扣代码形式

• 复制所有的JS代码，然后使用xl导出全局U方法

new U()[$_CBGAZ(353)](this[$_CBFJo(756)](t))
new window.xl()['encrypt']("293844e47865d090")

2.2 分析l值

l = V[$_CAIAZ(339)](pt[$_CAHJR(278)](o), r[$_CAHJR(721)]())

经过替换后

l =   V['encrypt'](pt['stringify'](o), ne())

pt蛮猜是一个json对象，因为需要把JavaScript对象转成json字符串。需要处理的是o值

2.2.1 处理o值

经过2次比对，发现有几个值在变动

1、先处理aa的值

• 发现在最上边设置的、跳第2个栈、查看第2个参数

l =  n['$_CICe']['$_BBES'](n['$_CICe']['$_GFJ'](), n['$_CJT']['c'], n['$_CJT']['s']);

发现 n['$_CICe']['$_BBES']是方法，需要传递3个参数

• 'g!).-,-(!!U(tsyyt(yyt()s)yvvs(!!(K92011120202019219$/*'
• [12, 58, 98, 36, 43, 95, 62, 15, 12]
• 2a796138

注：查看n['$_CJT']可以得出后2个值是图片接口获取的

跟栈查看第一个值得结果

注：这里面是对轨迹进行加密，可以使用全局导出加密轨迹

往上跟堆栈，修改参数导出，然后全局调用

window.get_ps = W[$_CJEZ(251)]["\u0024\u005f\u0047\u0046\u004a"]

2、处理其他值

参数在这里生成的，可以调试结果

4、处理L值

该值需要传入2个参数进行加密，生成一个大数组，第一个参数是轨迹信息，第2个参数是随机得值，加密完成返回数组。

可以直接使用全局导出V方法，然后直接传值即可，导出得地点在V函数外边，然后调用'encrypt'这个方法。结果如下

2.3 分析h值

h = m[$_CAIAZ(769)](l)

导出这个方法

在函数外部进行导出

方法调用

function get_h(){
    h = window.h["\u0024\u005f\u0047\u0047\u0063"](get_ls())
    return h
}

W值得最终结果